Microsoft'tan Sert Tepki: Koordinasyonsuz Sıfırıncı Gün Açıklamaları Müşterileri Tehlikeye Atıyor Siber Güvenlik

Microsoft'tan Sert Tepki: Koordinasyonsuz Sıfırıncı Gün Açıklamaları Müşterileri Tehlikeye Atıyor

Microsoft, altı sıfırıncı gün açığının yamasız şekilde kamuya duyurulmasına sert tepki gösterdi. Koordinasyonsuz açıklamaların müşterileri riske attığ

Microsoft, yayımladığı yeni bir bildiriyle güvenlik araştırmacılarını sert bir dille eleştirdi. Şirket, ürünlerinde bulunan altı farklı sıfırıncı gün (zero-day) güvenlik açığının, yamalar hazırlanmadan ve önceden haber verilmeden kamuoyuna duyurulmasının kabul edilemez olduğunu belirtti. Bu tür 'koordinasyonsuz açıklamaların' müşterileri gereksiz riske attığını vurgulayan teknoloji devi, açıklamaların kötü niyetli kişilere istismar kodu sağladığını ve bunun asla haklı çıkarılamayacağını ifade etti.

Söz konusu altı güvenlik açığı arasında Microsoft Defender'da ayrıcalık yükseltmesine izin veren 'Red Sun' (CVE-2026-41091) ve 'BlueHammer' (CVE-2026-45498), Windows BitLocker'da güvenlik önlemini atlatan 'YellowKey' (CVE-2026-45585), yine Microsoft Defender'da hizmet reddine yol açan 'Undefend' (CVE-2026-45498) ile Windows BitLocker ve Cloud Filter sürücüsünde ayrıcalık yükseltmesi sağlayan 'GreenPlasma' ve 'MiniPlasma' yer alıyor. Microsoft, bu açıklar nedeniyle güvenlik ekiplerinin gece gündüz çalışarak geçici önlemler ve yamalar geliştirdiğini açıkladı.

Microsoft, güvenlik araştırmacılarını endüstri standardı olan Koordineli Güvenlik Açığı Bildirimi (CVD) prosedürlerine uymaya çağırdı. Bu süreçte araştırmacı, açığı bulduğu şirkete genellikle 90 günlük bir ambargo süresi tanıyor; şirket bu sürede yama geliştiriyor, araştırmacı ise ödüllendiriliyor. Microsoft, her yıl yüzlerce araştırmacıyla CVD kapsamında çalıştıklarını ve bu iş birliğinin hem müşterileri koruduğunu hem de araştırmacılara adil bir süreç sunduğunu belirtti. Ancak, söz konusu altı açığı ifşa ettiğini iddia eden bir kişi, Microsoft'un hesabını sildiğini, kendisini ödüllendirmediğini ve itibarını zedelediğini öne sürdü. Bu iddialar henüz bağımsız olarak doğrulanmadı.

Gelecekte Ne Bekleniyor?

Siber güvenlik uzmanları, yapay zeka destekli araçların güvenlik açığı araştırmalarını hızlandırmasıyla geleneksel 90 günlük CVD modelinin sorgulanmaya başladığını belirtiyor. Anchore Güvenlik Başkan Yardımcısı Josh Bressers, CVD'nin ölmediğini ancak sağlıklı olmadığını söylerken, VulnCheck araştırmacısı Patrick Garrity, 90 günlük sürenin hâlâ geçerli olduğunu ancak aktif istismar durumunda sürenin kısaltılması gerektiğini ifade ediyor. RogoLabs kurucusu Jerry Gamblin ise AB'nin Siber Dayanıklılık Yasası'nın 72 saatlik bildirim süresi öngördüğünü hatırlatarak, 90 günlük standardın artık geçmişte kaldığını ve gelecekte tehdit hızına göre kademeli sürelerin benimseneceğini öngörüyor.

Paylaş: